Emotet - Catch me if you can (Part 2)

Thảo luận trong 'Virus/Malware' bắt đầu bởi Sugi_b3o, 11/06/19, 02:06 PM.

  1. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 310
    Đã được thích: 240
    Điểm thành tích:
    43
    Hôm nay, mình xin chia sẻ phần 2 của emotet về phân tích mẫu malware Emotet cũng như cách phòng chống, phát hiện sớm để cảnh báo trên hệ thống đồng thời ngăn chặn trước khi người dùng thực thi mã độc
    Dùng exiftool xem qua mẫu
    [​IMG]
    Có khá nhiều trường thông tin và thông tin khá khó hiểu
    [​IMG]

    Thử mở file dĩ nhiên không có gì đặt biệt ngoài dụ dỗ người dùng kích hoạt chế độ "Enable Editing" để thực thi mã độc trong macro

    [​IMG]

    Đầu tiên mình sử dụng oledump để check các marco đã đính kèm

    [​IMG]

    Ở các object 8 và 9 ta thấy có các nội dung rất nhiều ở phần Macros/VBA

    [​IMG]

    Hiển thị các object gốc của VB

    [​IMG]

    [​IMG]

    Trước tiên, đoạn mã được thực thi từ 2 đoạn chính bằng cách gọi hàm Công khai (CYCbzCYCbzCYCbzCYCbzCYCbz) nằm ở dòng 7. Hàm này chịu trách nhiệm truy xuất các thuộc tính Tùy chỉnh của Tài liệu được lưu trữ dưới dạng một loại văn bản

    [​IMG]

    Mỗi khi hàm (CYCbzCYCbzCYCbzCYCbzCYCbz) được gọi, nó sẽ lấy giá trị cho giá trị tên được truyền vào hàm (đầu tiên trong dòng 12 là giá trị tên AGFvfLAGFvfLAGFvfLAGF Các giá trị này sau đó được nối với nhau để tạo thành một chuỗi, ví dụ như chuỗi wscript.shell và powershell -e nếu không bị xáo trộn, rất dễ để các hệ thống An ninh thông tin phát hiện và đưa ra cảnh báo.

    Mã:
    CreateObject(wscript.shell).Run(powershell -e [base64 encoded Comments String], 0)
    Sau khi tạo được các chuỗi tham chiếu nó sẽ lấy nội dung giá trị ở mục “Comments”

    [​IMG]

    Ta có thể thấy được khi show đầy đủ các thông tin

    [​IMG]

    Chuỗi base64 được mã hóa để làm cho các bước phân tích khó hơn trước các thiết bị cảnh báo An Ninh Thông Tin

    [​IMG]

    Sau khi sắp xếp và làm sạch lại mọi thứ ta sẽ được như thế này. Powershell sẽ tạo tiến trình và tải xuống các tệp tin từ 1 trong các URL. Tệp sẽ được lưu tạ, thời vào đường dẫn Temp của người dùng với giá trị ngẫu nhiên trước khi thực thi

    [​IMG]

    [​IMG]

    [​IMG]

    [​IMG]
    Cách phòng chống và phát hiện:
    • Sử dụng yara để detect nhanh các tập tin có chứa malware hoặc add vào các công cụ phân tích an ninh thông tin để có thể phát hiện và ngăn chặn kịp thời trước khi đến người dùng
    [​IMG]
    Mã:
    rule Word_Emotet_Dropper : TAU Word Emotet VBA
    {
        meta:
            author = "Carbon Black TAU"
            date = "2017-August-22"
            description = "Emotet Word Document Dropper utilizing embedded Comments and Custom Properties Fields"
            yara_version = "3.5.0"
            exemplar_hashes = "20ca01986dd741cb475dd0312a424cebb53f1201067938269f2e746fb90d7c2e, c7cab605153ac4718af23d87c506e46b8f62ee2bc7e7a3e6140210c0aeb83d48, 3ca148e6d17868544170351c7e0dbef38e58de9435a2f33fe174c83ea9a5a7f5"
        strings:
            $signature = {D0 CF 11 E0}
            $base = /JAB7\w{100,}={0,2}/
            $s1 = "BuiltInDocumentProperties"
            $s2 = "CustomDocumentProperties"
            $s3 = "Run"
            $s4 = "VBA"
            $s6 = "Comments"
            $s7 = "autoopen"
            $s8 = "Module1"
            $s9 = "Picture 1" wide
            $s10 = "JFIF"
        condition:
            $signature at 0 and
            $base in (0x8200..0x9000) and
            8 of ($s*)
    }
    
    [​IMG]
     
    Chỉnh sửa cuối: 11/06/19, 02:06 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    AnhNHm thích bài này.
  2. AnhNHm

    AnhNHm New Member

    Tham gia: 26/03/19, 10:03 PM
    Bài viết: 4
    Đã được thích: 2
    Điểm thành tích:
    3
    Theo mình thì đây mới chỉ là con drop hoặc download con emotet gốc thôi. Cách thức thì có thể dùng Macro hay CVE-2017-11882,...
    Hy vọng sẽ có part 3 về phân tích kỹ thuật con Emotet gốc từ bạn :p
    Tiện cho mình hỏi Mod HustReMw còn mở lớp dạy phân tích ko ;)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    sunny thích bài này.
Tags: